Compartilhar via


tipo de recurso de alerta (preterido)

Namespace: microsoft.graph

Observação

A API de alertas herdados está preterida e será removida até abril de 2026. Recomendamos que você migre para a nova API de alertas e incidentes .

Esse recurso corresponde à primeira geração de alertas na API de segurança do Microsoft Graph, representando possíveis problemas de segurança no locatário de um cliente que a Microsoft ou uma solução de segurança de parceiro identifica.

Esse tipo de alerta federa a chamada de provedores de segurança do Azure e do Microsoft 365 Defender com suporte listados em Usar a API de segurança do Microsoft Graph. Ele agrega dados de alerta comuns entre os diferentes domínios para permitir que os aplicativos unifiquem e agilizem o gerenciamento de problemas de segurança em todas as soluções integradas.

Para saber mais, veja exemplos de consulta no Explorador de Gráfico.

Observação

Esse recurso é um dos dois tipos de alertas que a versão v1.0 da API de segurança do Microsoft Graph oferece. Para obter mais informações, confira alertas.

Métodos

Método Tipo de retorno Descrição
Obter alerta alert Leia as propriedades e os relacionamentos do objeto de alerta.
Atualizar alertas alert Atualize um objeto de alerta.
Listar alertas conjunto alerta Obtenha uma coleção de objetos de alerta.

Propriedades

Propriedade Tipo Descrição
activityGroupName String Nome ou alias do grupo de atividades (invasor) a que este alerta é atribuído.
assignedTo String Nome do analista ao qual o alerta está atribuído para triagem, investigação ou remediação (suporta atualização).
azureSubscriptionId String ID da assinatura do Azure, presente se o alerta estiver relacionado a um recurso do Azure.
azureTenantId String Microsoft Entra ID do locatário. Obrigatório.
category Cadeia de caracteres Categoria do alerta (por exemplo, credentialTheft, ransomware).
closedDateTime DateTimeOffset Tempo em que o alerta foi fechado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z (suporta atualização).
cloudAppStates conjunto cloudAppSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre os aplicativos de nuvem relacionados a esse alerta.
comentários String collection Comentários fornecidos pelo cliente no alerta (gerenciamento de alerta de cliente) (suporta atualização).
confidence Int32 Confiança da lógica de detecção (porcentagem entre 1 e 100).
createdDateTime DateTimeOffset Hora em que o alerta foi criado pelo provedor de alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório.
description String Descrição de alerta.
detectionIds String collection Conjunto de alertas relacionados a essa entidade de alerta (cada alerta é enviado ao SIEM como um registro separado).
eventDateTime DateTimeOffset Tempo em que o evento ou eventos que serviram como o gatilho para gerar o alerta ocorreu. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório.
comentários alertFeedback Comentários do analista no alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. Dá suporte à atualização.
fileStates fileSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre os arquivos relacionados a esse alerta.
hostStates Conjunto hostSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre o(s) host(s) relacionados a esse alerta.
id String Identificador GUID/exclusivo gerado pelo provedor. Somente leitura. Obrigatório.
incidentIds Coleção de cadeias de caracteres IDs de incidentes relacionados ao alerta atual.
lastModifiedDateTime DateTimeOffset Hora na qual entidade alerta foi modificada pela última vez. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
malwareStates conjunto malwareState Inteligência contra ameaças referentes ao malware relacionado a esse alerta.
networkConnections conjunto networkConnection Informações com estado relacionadas à segurança geradas pelo provedor sobre as conexões de rede relacionadas a esse alerta.
processos conjunto processo Informações com estado relacionadas à segurança geradas pelo provedor sobre o processo ou processos relacionados a esse alerta.
recommendedActions String collection Ações recomendadas pelo provedor/fornecedor a serem tomadas como resultado do alerta (por exemplo, isolar máquina, enforce2FA, host de imagem de imagem).
registryKeyStates conjunto registryKeyState Informações com estado relacionadas à segurança geradas pelo provedor sobre as chaves de registro relacionadas a esse alerta.
securityResources Coleção de securityResource Recursos relacionados ao alerta atual. Por exemplo, para alguns alertas, isso pode ter o valor de recurso do Azure.
severity alertSeverity Gravidade de alerta, definida pelo provedor/fornecedor. Os valores possíveis são: unknown, informational, low, medium, high. Obrigatório.
sourceMaterials String collection Hiperlinks (URIs) para o material de origem relacionado ao alerta, por exemplo, a interface do usuário do provedor para alertas ou pesquisa de log.
status alertStatus Status de alerta de ciclo de vida (estágio). Os valores possíveis são: unknown, newAlert, inProgress, resolved. (suporta atualização). Obrigatório.
marcações String collection Rótulos defiráveis pelo usuário que podem ser aplicados a um alerta e podem servir como condições de filtro (por exemplo, "HVA", "SAW") (dá suporte à atualização).
title String Título do alerta. Obrigatório.
gatilhos Conjunto alertTrigger Informações de segurança sobre propriedades específicas que dispararam o alerta (Propriedades aparecendo no alerta). Os alertas podem conter informações sobre vários usuários hosts, arquivos, endereços ip. Este campo indica quais propriedades acionaram a geração de alertas.
userStates Conjunto userSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre as contas de usuários relacionadas a esse alerta.
vendorInformation securityVendorInformation Tipo complexo que contém detalhes sobre o fornecedor, provedor e subprovedor de produtos / serviços de segurança (por exemplo, fornecedor = Microsoft; provedor = Windows Defender ATP; subProvedor = AppLocker). Obrigatório.
vulnerabilityStates conjunto vulnerabilityState Inteligência de ameaças referente a uma ou mais vulnerabilidades relacionadas a este alerta.

Relações

Nenhum

Representação JSON

A representação JSON a seguir mostra o tipo de recurso.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}